Eine neue Ransomware-Bande namens Cactus treibt ihr Unwesen in der digitalen Welt: „Die Cyberkriminellen haben es besonders auf VPN-Anwendungen abgesehen, um sich einen ersten Zugang zu den Systemen und Netzwerken zu verschaffen. Die Cactus-Ransomware kann sich zudem offenbar selbst verschlüsseln, um dadurch eine Erkennung durch Antivirensoftware zu erschweren. Die Bekämpfung durch gängige Antivirusprogramme gestaltet sich daher als schwierig“, warnt IT-Sicherheitsexpertin Patrycja Schrenk.
Der Name „Cactus“ leitet sich von dem angegebenen Dateinamen cAcTuS.readme.txt und dem Namen in der Lösegeldforderung ab. Bislang ist noch nicht bekannt, wer hinter der neuen Ransomware-Bande steckt. Die Ermittlungen laufen auf Hochtouren.
Das macht Cactus so gefährlich
„Was Cactus, im Vergleich zu anderen Ransomware-Varianten noch gefährlicher macht, ist, dass die Angreifer die Verschlüsselung zum Schutz der Ransomware-Binärdatei einsetzen. Im Fokus eines Angriffs stehen dabei Schwachstellen in bekannten VPN-Servern von Fortinet“, so die Geschäftsführerin der PSW GROUP (www.psw-group.de). Über den VPN-Server greifen die Cyberkriminellen auf das Netzwerk zu und führen ein Batch-Script aus, durch das die eigentliche Ransomware geladen wird. Der Schadcode wird in einer ZIP-Datei übertragen und nach dem Download extrahiert. Mithilfe eines speziellen Schlüssels in der Befehlszeile können die Angreifer die Anwendung starten und Dateien auf dem betroffenen System so verschlüsseln, dass Nutzer keinen Zugriff mehr haben.
Doch damit nicht genug, wie Patrycja Schrenk fortfährt: „Vor der Verschlüsselung werden die Dateien an die Server der Angreifer übertragen. Dadurch erhält die Ransomware-Bande ein weiteres Druckmittel. Denn erstens kann Lösegeld für die Entschlüsselung der Dateien auf dem kompromittierten System gefordert werden und zusätzlich können die Cyberkriminellen damit drohen, die erbeuteten Daten zu veröffentlichen.“
Cactus hat vor allem große Unternehmen mit einer Menge von sensiblen Daten im Visier. Laut verschiedener Berichte sollen die Forderungen bei bisherigen Cactus-Angriffen in Millionenhöhe liegen und die Angriffe speziell auf die jeweiligen Opfer zugeschnitten sein. Welche Unternehmen bisher von den Cactus-Angriffen betroffen sind, ist noch nicht bekannt – bisher wurden noch keine sensiblen Daten veröffentlicht.
Prävention
„Die Ransomware Cactus ist äußerst gefährlich, da gängige Virenscanner diese aufgrund der verschlüsselten Angriffe nur schwer erkennen können“, betont Schrenk und ergänzt: „Deshalb ist es umso wichtiger, sich vor Angriffen mit Präventivmaßnahmen zu schützen. Dazu gehört es, Anwendungen und öffentlich zugängliche Systeme stets auf dem neuesten Stand zu halten und Patches umgehend einzuspielen. Auch rate ich, das gesamte Netzwerk kontinuierlich auf Auffälligkeiten, insbesondere PowerShell, zu überwachen und schnell zu reagieren, einen Passwort-Manager zu implementieren sowie eine Zwei-Faktor-Authentifizierung zum Standard zu machen.“ Ergänzend lohnt sich die regelmäßige Überprüfung der Administrator- und Dienstkonten. Die Erstellung regelmäßiger Backups sollte obligatorisch sein.
Weitere Informationen unter: https://www.psw-group.de/blog/ransomware-cactus-angriffe-vpn-schwachstellen/9787
PSW GROUP GmbH & Co. KG